Vulnerabilidad en nbgrader (CVE-2025-23205)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/01/2025
Última modificación:
17/01/2025
Descripción
nbgrader es un sistema para asignar y calificar cuadernos. Habilitar framework-ancestors: 'self' otorga a cualquier usuario de JupyterHub la capacidad de extraer contenido de formgrader enviando enlaces maliciosos a usuarios con acceso a formgrader, al menos cuando se usa la configuración predeterminada de JupyterHub de `enable_subdomains = False`. #1915 deshabilita una protección que permitiría al usuario Alice manipular una página que incorpore formgrader en un IFrame. Si Bob visita esa página, se enviarán sus credenciales y se cargará la página formgrader. Debido a que la página de Alice está en el mismo origen que el iframe formgrader, Javasript en la página de Alice tiene _acceso completo_ al contenido de la página servida por formgrader usando las credenciales de Bob. Este problema se ha solucionado en la versión 0.9.5 y se recomienda a todos los usuarios que actualicen. Los usuarios que no puedan actualizar pueden deshabilitar frame-ancestors: self o habilitar subdominios por usuario y por servicio con JupyterHub.enable_subdomains = True (luego, incluso si se permite la incrustación en un IFrame, la página del host no tiene acceso al contenido del frame).
Impacto
Puntuación base 4.0
6.90
Gravedad 4.0
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/jupyter/nbgrader/commit/73e137511ac1dc02e95790d4fd6d4d88dab42325
- https://github.com/jupyter/nbgrader/pull/1915
- https://github.com/jupyter/nbgrader/security/advisories/GHSA-fcr8-4r9f-r66m
- https://jupyterhub.readthedocs.io/en/stable/explanation/websecurity.html#:~:text=frame-ancestors